À partir du mois de juillet, la loi californienne sur la protection de la vie privée des consommateurs entrera en vigueur. Cette entrée en vigueur sera-t-elle rapidement suivie d'une avalanche de litiges ? Et comment les entreprises peuvent-elles éviter de s'y laisser entraîner ?
Le CCPA a connu plus que sa part de modifications et d'amendements au fil du temps. Une chose est restée inébranlable : le bureau du procureur général de Californie n'a pas l'intention de relâcher son attention sur l'application de la loi, même avec les perturbations imposées par la loi COVID-19 :
"Pour l'instant, nous nous engageons à appliquer la loi dès la finalisation des règles ou le 1er juillet, selon la première éventualité. Nous sommes tous conscients de la nouvelle réalité créée par COVID-19 et de la valeur accrue de la protection de la vie privée des consommateurs en ligne qui en découle".
Les modifications apportées à la loi sur la protection des données et les autres réglementations qui ont vu le jour ou ont été proposées dans diverses régions, nations et États, ne font que souligner la nature changeante du paysage de la protection de la vie privée. Des efforts tels que ceux entrepris par la Uniform Law Commission visent à unifier de manière cohérente les lois américaines sur la protection des données à caractère personnel, mais personne ne sait quand cela se produira.
Cinq faits essentiels sur la nouvelle réalité de la protection des données
En attendant ? L'arrivée de l'application de la loi CCPA fait du respect de la confidentialité des données une réalité urgente pour des centaines de milliers d'entreprises qui font du commerce avec les Californiens.
Comme on le souligne souvent, "la réglementation engendre les litiges", en particulier lorsqu'une nouvelle loi donne aux plaignants le droit de réclamer des dommages-intérêts aux entreprises qui l'ont enfreinte. L'ACCP ne dérogera pas à la règle, car on pourrait assister à une véritable ruée vers l'or californien lorsque des plaideurs agressifs intenteront des actions en justice. Certains n'ont pas pris la peine d'attendre le début de l'application de la loi.
Les services juridiques des entreprises et les équipes chargées du risque et de la conformité sont aujourd'hui contraints d'accepter cinq faits essentiels concernant cette situation - et de les utiliser pour guider leurs actions alors que nous pénétrons dans ce nouveau territoire inexploré :
Se préparer aux changements à venir
L'application de la loi sur la protection des données est une certitude, mais l'avènement futur d'autres réglementations sur la protection des données dans d'autres lieux et d'autres secteurs l'est tout autant. Même lorsque des règles strictes ont déjà été mises en place ? De nouvelles restrictions sont possibles.
Par exemple, les partisans de la CCPA proposent maintenant une loi californienne sur les droits à la vie privée (CPRA) qui renforcerait les droits des consommateurs et augmenterait encore les risques pour les entreprises. Il est donc essentiel de rester conscient des obligations qui vous incombent en vertu de la législation actuelle et d'anticiper les modifications potentielles ou les nouvelles législations.
Pour faire face aux autres changements à venir, les entreprises doivent d'abord admettre qu'il s'agit de la nouvelle réalité des affaires. Ensuite, elles doivent être prêtes à adopter les cadres et les outils de gouvernance des données qui leur donnent la flexibilité et l'agilité dont elles ont besoin pour rester en conformité. Ce n'est qu'alors qu'elles seront en mesure de faire face non seulement à une réglementation accrue sur un plus grand nombre de marchés, mais aussi au fait que ces réglementations sont fluides et sujettes à des révisions et à des modifications constantes.
La pandémie a renforcé la surveillance de la confidentialité des données
Comme nous l'avons mentionné plus haut, les régulateurs, dans l'ensemble, ne sont pas disposés à relâcher leur vigilance en matière d'application de la législation sur la protection de la vie privée simplement en raison d'une crise de santé publique d'une ampleur sans précédent. Au contraire, la pandémie suscite presque quotidiennement de nouveaux appels à l'adoption de règles plus stric tes en matière de protection de la vie privée.
Il y a quelques mois, combien d'Américains utilisaient Zoom ? Mais voilà que se multiplient multiplient les poursuites et autres menaces juridiques qui découlent de l'impréparation supposée de la plateforme à devenir l'épine dorsale du télétravail. Y compris, bien sûr, une demande de nouvelles réglementations pour des services comme Zoom.
L'utilisation de technologies telles que l'IA pour contenir le virus a suscité des inquiétudes concernant la confidentialité des données, ainsi que la manière dont les données sont traitées dans d'autres domaines des soins de santé. Des projets de loi fédéraux ont déjà été présentés pour limiter la divulgation de données au gouvernement, parmi d'autres protections proposées.
Les processus opérationnels créent désormais des risques
Les processus d'entreprise qui sont fondamentaux pour de nombreuses organisations ? Pour plusieurs raisons, ils constituent désormais une source de risque pour ces entreprises. Des risques que les régulateurs et les avocats privés ne seront que trop heureux de cibler.
Tout d'abord, il y a le simple fait que ces Les processus peuvent ne pas avoir a été réorganisée pour se conformer à la CCPA ou à d'autres réglementations en matière de protection de la vie privée. Pourquoi Une entreprise peut-elle ne pas le faire ? Elle peut avoir une compréhension incomplète de la réglementation ou de ses implications pour son activité, ou simplement ne pas avoir consacré les ressources appropriées à la mise en conformité - soit parce qu'elle n'en voyait pas la nécessité, soit parce qu'elle n'en avait pas les moyens, soit parce qu'elle estimait que ses systèmes et processus existants étaient "suffisamment bons" pour ne pas avoir à s'en préoccuper.
Mais les complexités de la conformité en matière de confidentialité des données peuvent constituer un écueil très profond et très dangereux pour les personnes non préparées. D'autant plus que des lois telles que la CCPA rendent une entreprise responsable des erreurs de traitement des données commises par ses partenaires et les tiers. Une surveillance déficiente, des processus manuels et centrés sur le papier, et des pratiques de stockage de données dépassées sont autant d'éléments qui risquent d'être sanctionnés par la réglementation.
Dans une situation telle que la pandémie de COVID-19, les dangers d'une mauvaise gestion de la confidentialité des données sont d'autant plus grands que les employés travaillent à distance. Dans le cadre de leur travail, à quelles IIP accèdent-ils au sujet des clients et des prospects ? Avec qui les partagent-ils ? Sur quels appareils ?
Pour rendre ces processus conformes, il faut simplement s'engager à mettre en place les bons outils. En particulier l'automatisation des flux de travail pour remplacer les processus obsolètes et non conformes par des versions automatisées où la conformité à la CCPA est intégrée dès le départ, même pour les employés à distance.
Une préparation précoce permet d'atténuer ces risques
L'adoption d'une approche proactive de la conformité à la loi CCPA ou à d'autres lois sur la protection de la vie privée permet d'éviter les maux de tête opérationnels, les atteintes à la réputation et les préjudices causés aux résultats par les pénalités et les pertes liées aux litiges.
Quelques-unes des mesures à prendre ? Mettre en place un cadre de gouvernance des données est une première étape essentielle, et la détermination de vos objectifs en matière d'utilisation des données est un élément clé. La mise en place d'un tel cadre implique l'engagement et le travail d'un large éventail de parties prenantes dans toute organisation, mais c'est obligatoire - et les résultats à long terme en valent la peine.
Vous devez ensuite identifier les pratiques et les processus susceptibles de poser problème en ce qui concerne les risques liés à la confidentialité des données. À partir de là, il s'agit d'explorer et d'évaluer les les solutions disponibles pour réorganiser ces processus et vous doter de l'agilité, de la réactivité, de la transparence et de la supervision nécessaires à une conformité efficace.
Les plaignants et les plaideurs se profilent à l'horizon
Pour sortir un instant du cadre de la confidentialité des données, examinons un domaine un peu plus établi dans les litiges liés au numérique. Le nombre de procès intentés en vertu du titre III de l'Americans with Disabilities Act (ADA) a continué d'augmenter en 2019, battant le record de l'année précédente en dépassant les 3 000 nouveaux cas d'accessibilité de sites web. C'est une leçon qui ne devrait pas être perdue pour les entreprises confrontées au CCPA : Encore une fois, presque toute nouvelle réglementation offre une nouvelle voie pour les plaignants qui cherchent à atteindre un filon.
En fait, des actions ont déjà été intentées contre des entreprises telles que Salesforce, Ring et Clearview AI pour des violations présumées de la CCPA. Et comme nous l'avons mentionné plus haut, Zoom a fait l'objet de trois recours collectifs en vertu de la CCPA depuis le 30 mars.
Dans le dossier déposé par Clearview AI, il est allégué que l'entreprise viole également la loi de l'Illinois sur la confidentialité des informations biométriques (BIPA), qui a été une "source constante de litiges depuis" son entrée en vigueur en 2008, générant des centaines d'affaires. Il pourrait s'agir d'un signe avant-coureur d'un avenir sous la CCPA où les affaires prolifèrent frénétiquement. Il faut également tenir compte du fait que le BIPA traite d'un spectre plus étroit de la confidentialité des données que la loi californienne.
Nouvelles complications liées au travail à distance
Un autre problème ? Le passage soudain à une main-d'œuvre à distance a fait naître de nouveaux risques. Lorsque les employés sont de plus en plus dispersés, mais qu'ils peuvent toujours accéder aux données personnelles des clients, les dangers d'une mauvaise manipulation de ces informations augmentent. Et comme nous l'avons vu, les régulateurs et les avocats ne sont pas disposés à donner un laissez-passer à une entreprise, qu'il s'agisse de COVID-19 ou non.
Certaines entreprises ont déjà pris des mesures pour intégrer la conformité avec la CCPA, le GDPR et d'autres réglementations sur la confidentialité des données dans leurs opérations. Elles l'ont fait en réorganisant les processus de base avec de nouvelles solutions telles que l'automatisation des flux de travail ou des outils pour découvrir et stocker les données réelles détenues par leurs entreprises.
Il incombe donc à toute entreprise concernée par l'ACCP de s'informer sur les différentes solutions disponibles pour surmonter les risques posés par l'ACCP. risques posés par l'ACCP. Il s'agit là d'une première étape essentielle pour se prémunir contre le risque d'être victime de cette "ruée vers l'or" des temps modernes.
Pour en savoir plus sur la manière de naviguer dans les complexités juridiques et de conformité d'un environnement de travail à domicile, veuillez ce webinaire.
